JPWO2020161780A1 - 行動計画推定装置、行動計画推定方法、及びプログラム - Google Patents

行動計画推定装置、行動計画推定方法、及びプログラム Download PDF

Info

Publication number
JPWO2020161780A1
JPWO2020161780A1 JP2020570224A JP2020570224A JPWO2020161780A1 JP WO2020161780 A1 JPWO2020161780 A1 JP WO2020161780A1 JP 2020570224 A JP2020570224 A JP 2020570224A JP 2020570224 A JP2020570224 A JP 2020570224A JP WO2020161780 A1 JPWO2020161780 A1 JP WO2020161780A1
Authority
JP
Japan
Prior art keywords
action plan
action
group
log
software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020570224A
Other languages
English (en)
Other versions
JP7168010B2 (ja
Inventor
格 細見
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2020161780A1 publication Critical patent/JPWO2020161780A1/ja
Application granted granted Critical
Publication of JP7168010B2 publication Critical patent/JP7168010B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • G06N5/041Abduction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

行動計画推定装置10は、コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、情報取得部11と、動作ログそれぞれを、文脈情報間の類似性に基づいて、グループに分ける、グループ生成部12と、グループ毎に、当該グループに含まれる動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる動作ログが示す動作から、予め設定された目標状態に至るまでの、動作ログが取得されたソフトウェアによって実行される行動計画を推定する、行動計画推定部13と、を備えている。

Description

本発明は、コンピュータシステム上でのソフトウェアの行動計画を推定するための、行動計画推定装置、及び行動計画推定方法に関し、更には、これらを実現するためのプログラムを記録したコンピュータ読み取り可能な記録媒体に関する。
近年においては、企業等の組織、社会においては、コンピュータシステムの役割がますます大きくなっており、コンピュータシステムを安全に運用することが求められている。従って、悪意のある第三者が、コンピュータシステムに対して何らかのサイバー攻撃を起こした場合は、そのことに素早く気づき、サイバー攻撃によって侵入したソフトウェア(マルウェア、ウィルス等)によって実行される行動計画を把握した上で、必要な対応をできるだけ早く行なうことが重要である。
但し、昨今のサイバー攻撃は、様々な目的で行なわれており、サイバー攻撃でコンピュータシステムに侵入したソフトウェアによって実行される行動計画を把握することは容易ではない。このような問題に対して、例えば、特許文献1は、サイバー攻撃におけるマルウェアの振る舞いを検出し、検出した振る舞いから、それに関連する機能を辿って、マルウェアの目的を推定する分析装置を開示している。特許文献1に開示されている分析装置によれば、マルウェアの目的、即ち、攻撃者がマルウェアを用いて達成しようとしている目的と、目的達成のために策定された行動計画とを把握できるので、マルウェアの行動を先回りでき、サイバー攻撃に迅速に対応できると考えられる。
国際公開第2016/027292号
ところで、以前は、サイバー攻撃の大半は、コンピュータウィルスのばらまき、サービスを停止させる攻撃(DoS攻撃、DDoS攻撃)といった、自己顕示又は不満のある組織の信用失墜を目的とした攻撃であったが、近年、サイバー攻撃の手口は多様化している。また、これに合わせて、コンピュータシステムに侵入したソフトウェアによって実行される行動計画も多様化している。
具体的には、近年は、金銭の獲得を狙った機密情報の盗取、ランサムウェアによる身代金要求といった、金銭を目的とした攻撃が急増し、サイバー攻撃の手口は、標的に応じて、多種多様化すると共に巧妙化している。例えば、標的のコンピュータシステムに侵入させたマルウェアに、多種類のマルウェアのダウンロードを行わせることが行われている。この場合、コンピュータシステムにおいては、マルウェアの感染が徐々に拡大すると共に、多数のマルウェアが、協調して情報探索及び痕跡消去を実行する。
これに対して、上記特許文献1に開示された分析装置では、ソフトウェアの動作と、予め定義されたマルウェアの振る舞いのパターンとを照合することで、マルウェアの振る舞いを検出する。このため、上記特許文献1に開示された分析装置では、振る舞いがパターンと合致しない新たなマルウェアによる攻撃に対応できず、行動計画を推定できない場合がある。
本発明の目的の一例は、上記問題を解消し、外部から入力されたソフトウェアによるサイバー攻撃の手口が多様化した場合であっても、このソフトウェアによって実行される行動計画を推定し得る、行動計画推定装置、行動計画推定方法、及びコンピュータ読み取り可能な記録媒体を提供することにある。
上記目的を達成するため、本発明の一側面における行動計画推定装置は、
コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、情報取得部と、
前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、グループ生成部と、
前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、行動計画推定部と、
を備えている、
ことを特徴とする。
また、上記目的を達成するため、本発明の一側面における行動計画推定方法は、
(a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
(b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
(c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
を有する、
ことを特徴とする。
更に、上記目的を達成するため、本発明の一側面におけるコンピュータ読み取り可能な記録媒体は、
コンピュータに、
(a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
(b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
(c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
を実行させる命令を含む、プログラムを記録している、
ことを特徴とする。
以上のように、本発明によれば、外部から入力されたソフトウェアによるサイバー攻撃の手口が多様化した場合であっても、このソフトウェアによって実行される行動計画を推定することができる。
図1は本発明の実施の形態1における行動計画推定装置の概略構成を示すブロック図である。 図2は、本発明の実施の形態1における行動計画推定装置の具体的構成を示すブロック図である。 図3は、本発明の実施の形態1における行動計画推定装置の動作を示すフロー図である。 図4は、図3に示したステップA1で取得される動作ログ及び文脈情報の一例を示す図である。 図5は、図3に示したステップA2で作成されたグループの一例を示す図である。 図6は、図3に示したステップA3の仮説推論から推定された行動計画の一例を示す図である。 図7は、図3に示したステップA6の実行により画面に表示された行動計画とメッセージとの一例を示す図である。 図8は、本発明の実施の形態2における行動計画推定装置の構成を示すブロック図である。 図9は、本発明の実施の形態2における行動計画推定装置の動作を示すフロー図である。 図10(a)は、図9に示したステップB3及びB4の処理の一例を示し、図10(b)は、図9に示したステップB5及びB6の処理の一例を示す図である。 図11は、本発明の実施の形態1及び2における行動計画推定装置を実現するコンピュータの一例を示すブロック図である。
(実施の形態1)
以下、本発明の実施の形態1における、行動計画推定装置、行動計画推定方法、及びプログラムについて、図1〜図7を参照しながら説明する。
[装置構成]
最初に、本発明の実施の形態1における行動計画推定装置の概略構成について説明する。図1は本発明の実施の形態1における行動計画推定装置の概略構成を示すブロック図である。
図1に示す、本実施の形態における行動計画推定装置10は、コンピュータシステム上でソフトウェアによって実行される行動計画を推定する装置である。本実施の形態において、「ソフトウェアによって実行される行動計画」には、ソフトウェアを用いて達成したい人の行動計画も含まれる。
図1に示すように、行動計画推定装置10は、情報取得部11と、グループ生成部12と、行動計画推定部13とを備えている。このうち、情報取得部11は、コンピュータシステム上でソフトウェアが行った動作毎に、その動作を示す動作ログ及びその動作の状況を示す文脈情報を取得する。グループ生成部12は、動作ログそれぞれを、文脈情報間の類似性に基づいて、グループに分ける。
行動計画推定部13は、まず、グループ毎に、各グループに含まれる動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行する。続いて、行動計画推定部13は、仮説推論の結果を用いて、各グループに含まれる動作ログが示す動作から、予め設定された目標状態に至るまでの、動作ログが取得されたソフトウェアによって実行される行動計画を推定する。
このように、本実施の形態では、互いに関連のある動作ログに、実行計画と動作との関係を示す知識データを適用して実行される仮説推論の結果を用いて、行動計画が推定される。つまり、本実施の形態では、ソフトウェアの振る舞いのみに依存することなく、行動計画が推定される。このため、本実施の形態によれば、外部から入力されたソフトウェアによるサイバー攻撃の手口が多様化した場合であっても、このソフトウェアによって実行される行動計画を推定することができる。
続いて、図2を用いて、本実施の形態1における行動計画推定装置10の構成をより具体的に説明する。図2は、本発明の実施の形態1における行動計画推定装置の具体的構成を示すブロック図である。
図2に示すように、本実施の形態1では、行動計画推定装置10は、コンピュータシステム30に接続されている。コンピュータシステム30は、ネットワークを介して接続された多数のコンピュータによって構築されている。行動計画推定装置10は、コンピュータシステム30上で動作するソフトウェア、特には、マルウェア等のコンピュータシステム30を攻撃するソフトウェアによって実行される行動計画を推定する。
情報取得部11は、本実施の形態1では、まず、コンピュータシステム30から、動作ログを収集し、収集した動作ログから、それに付随する文脈情報を取得する。文脈情報は、例えば、動作の実行時刻(開始時刻)、実行場所、行為主体、行為対象等を含む情報である。
グループ生成部12は、本実施の形態では、例えば、複数の文脈情報それぞれに含まれる、動作の実行時刻(開始時刻)、実行場所、行為主体、行為対象のうちいずれかが一致している場合に、これらの動作ログは関連していると判断し、これらを同じグループとする。
例えば、実行時刻については、2つの動作ログそれぞれの文脈情報中の実行時刻の差が閾値以下(1時間以内、1週間以内等)である場合に一致と判断される。実行場所については、各動作ログが取得されたエリアが同一エリア(同じホストマシン上、同じドメインネットワーク上、感染範囲内等)にある場合に一致と判断される。また、実行場所については、動作が行われた場所間の空間的距離又はネットワーク的距離が閾値以下である場合(動作ログの取得元が同一部門又は連携部門にある等)にも一致と判断される。
また、行為主体については、2つの動作ログそれぞれが関連するユーザアカウントが一致している場合、ユーザアカウントの権限レベルが同等である場合に、一致と判断される。更に、行為主体については、動作を行った各ソフトウェアが同一のマルウェアである場合、同じ攻撃に用いられた実績がある一連のマルウェア等である場合も、一致と判断される。更に、行為対象については、2つの動作ログそれぞれで対象となっていたオブジェクトが同一である場合、又は同一ファミリのオブジェクトである場合に、一致と判断される。
行動計画推定部13は、上述したように、まず、グループ毎に、各グループに含まれる動作ログに、知識データを適用して仮説推論を実行する。この場合、知識データは、本実施の形態では、一階述語論理式の含意関係ルールによって表現される。
知識データは、例えば、「前状態(前提)∧行為(の達成状態)⇒後状態(帰結)」の形式で表現される。この形式は、前提となる前状態と行為(の達成状態)とが共に真ならば、必然の帰結となる後状態が導かれる、ことを示している。また、この形式では、前状態と行為とは、それぞれ後状態が成り立つための必要条件である。また、「前状態∧行為」は、後状態が成り立つための十分条件である。また、行為は複数の命題の連言で表現することもできる。例えば、知識データは、「前状態∧行為1∧行為2⇒後状態」と表現されていても良い。
知識データの具体例としては、「マルウェア侵入(Event1, Mal)∧不正ログオン(Event2, Host, Host1) ⇒ 感染拡大(Plan, Mal, Host1)」が挙げられる。この場合、Event1、Mal、Host等はそれぞれ各述語の「項」と呼ばれる変数である。「項」に具体的な値が入った論理式は、「観測(observation)」と呼ばれる。例として、「不正ログオン(“e1”, “10.23.123.1”)」が挙げられる。
続いて、行動計画推定部13は、上述したように、仮説推論の結果を用いて、各グループに含まれる動作ログが示す動作から、予め設定された目標状態に至るまでの、動作ログが取得されたソフトウェアによって実行される行動計画を推定する。具体的には、行動計画推定部13は、推論の結果を用いて、動作ログが示す動作が行われてから、目標状態に到達するまでに、ソフトウェアによって行われる行為を推定する。ここで、「目標状態」としては、例えば、機密情報が外部に送信された状態、要求した金額が送金された状態等が挙げられる。
また、図2に示すように、行動計画推定装置10は、情報取得部11、グループ生成部12、及び行動計画推定部13に加えて、行動計画出力部14と、メッセージ作成部15とを備えている。
メッセージ作成部15は、仮説推論の結果から、動作ログに直接結びついていない要素の成立に必要となる動作を特定する。そして、メッセージ作成部15は、動作ログの文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、推定した文脈情報を用いて、行動計画についてのメッセージを生成する。
行動計画出力部14は、推定された行動計画を、例えば、表示装置、端末装置といった外部の装置に出力する。これにより、表示装置または端末装置の画面上に、行動計画が表示される。また、行動計画出力部14は、メッセージ作成部15によってメッセージが生成された場合は、推定された行動計画に加えて、生成されたメッセージも外部の装置に出力することもできる。
[装置動作]
次に、本実施の形態1における行動計画推定装置10の動作について図3を用いて説明する。図3は、本発明の実施の形態1における行動計画推定装置の動作を示すフロー図である。以下の説明においては、適宜図1及び図2を参照する。また、本実施の形態1では、行動計画推定装置10を動作させることによって、行動計画推定方法が実施される。よって、本実施の形態1における行動計画推定方法の説明は、以下の行動計画推定装置10の動作説明に代える。
図3に示すように、最初に、情報取得部11が、コンピュータシステム30上でソフトウェアが行った動作毎に、その動作を示す動作ログ及びその文脈情報を取得する(ステップA1)。具体的には、情報取得部11は、コンピュータシステム30から、動作ログを収集し、収集した動作ログから、それに付随する文脈情報を取得する。
次に、グループ生成部12は、ステップA1で取得した動作ログそれぞれを、文脈情報間の類似性に基づいて、グループに分ける(ステップA2)。具体的には、グループ生成部12は、複数の文脈情報それぞれに含まれる、動作の実行時刻(開始時刻)、実行場所、行為主体、行為対象のうちいずれかが一致している場合に、これらの動作ログは関連していると判断し、これらを同じグループとする。
次に、行動計画推定部13は、グループ毎に、各グループに含まれる動作ログに、知識データを適用して仮説推論を実行する(ステップA3)。
次に、行動計画推定部13は、ステップA3の仮説推論の結果を用いて、各グループに含まれる動作ログが示す動作から、予め設定された目標状態に至るまでの、動作ログが取得されたソフトウェアによって実行される行動計画を推定する(ステップA4)。
次に、メッセージ作成部15は、ステップA4で推定された行動計画についてのメッセージを生成する(ステップA5)。具体的には、メッセージ作成部15は、仮説推論の結果から、動作ログに直接結びついていない要素の成立に必要となる動作を特定する。そして、メッセージ作成部15は、動作ログの文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、推定した文脈情報を用いて、行動計画についてのメッセージを生成する。
次に、行動計画出力部14は、ステップA4で推定された行動計画と、ステップA5で生成されたメッセージとを、例えば、表示装置、端末装置といった外部の装置に出力する(ステップA6)。
[具体例]
ここで、本実施の形態1における行動計画推定装置10の動作の具体例について、図4〜図7を用いて説明する。また、具体例の説明は、上述した図3に示す各ステップに沿って行う。
ステップA1
情報取得部11は、図4に示す動作ログとそれに付随する文脈情報とを取得する。図4は、図3に示したステップA1で取得される動作ログ及び文脈情報の一例を示す図である。図4の例では、動作ログとして、「マルウェア検知」、「不正ログオン1」、及び「不正ログオン2」が取得されている。また、図4では、左側に、動作ログと文脈情報とが模式的に示され、右側にこれらの論理式が示されている。
ステップA2
グループ生成部12は、図5に示すように、ステップA1で取得した動作ログそれぞれを、文脈情報間の類似性に基づいて、グループに分ける。図5は、図3に示したステップA2で作成されたグループの一例を示す図である。図4に示したように、「マウルェア検知」と「不正ログオン1」とにおいて、行為主体及び実行場所が一致している。このため、図5の例では、これらの動作は同じグループとなる。
ステップA3及びA4
行動計画推定部13は、図5に示したグループに含まれる動作ログに、知識データを適用して仮説推論を実行する。そして、行動計画推定部13は、図6に示すように、仮説推論の結果から行動計画を推定する。図6は、図3に示したステップA3の仮説推論から推定された行動計画の一例を示す図である。図6の例では、仮説推論により、ステップA2で作成されたグループに含まれる「マルウェア検知」及び「不正ログオン1」を起点として、起点から終点「目標状態」までに、マルウェアによって行われる行為が導出されている。
なお、図6において破線で囲まれている「データ外部送信」は、動作ログとして取得された動作ではない。但し、「データ外部送信」も、行動計画推定部13による仮説推論によって推定される。
ステップA5
メッセージ作成部15は、ステップA3で得られた仮説推論に含まれる「行為」のうち、ステップA1で取得された動作ログに直接結びついていないものを特定する。図6の例では、「データ外部送信」がそれに該当する。続いて、メッセージ作成部15は、知識データを用いて、「データ外部送信」の成立に必要な動作を特定する。具体的には、メッセージ作成部15は、知識データを用いて、「データ外部送信」の成立に必要な動作として、「情報盗取」を特定する。
次に、メッセージ作成部15は、ステップA1で取得された動作ログの文脈情報、例えば、成立に必要な動作として特定した「情報盗取」の直前の「感染拡大」の必要条件である「不正ログオン1」の文脈情報から、「データ外部送信」の文脈情報を推定する。具体的には、メッセージ作成部15は、「不正ログオン1」の文脈情報における実行日時(time)、動作主体(agent)、及び実行場所(src, dest)の値をそれぞれ抽出する(図4参照)。
次に、メッセージ作成部15は、「データ外部送信」の実行日時を、抽出した日時の後に設定し、行為主体、行為対象及び実行場所を、抽出したものに設定する。そして、メッセージ作成部15は、未確認の動作である「データ外部送信」と、それについて設定した文脈情報とを用いて、メッセージを作成する。メッセージの例としては、「“情報盗取”に関する“データ外部送信”が、“2018/05/31 13:54:28”より後に、“admin01”の権限で、“183.79.40.183”または“183.79.52.210”上で行なわれた可能性があります。」が挙げられる。
ステップA6
次に、行動計画出力部14は、図7に示すように、ステップA4で推定された行動計画と、ステップA5で生成されたメッセージとを外部の装置に出力する。図7は、図3に示したステップA6の実行により画面に表示された行動計画とメッセージとの一例を示す図である。図7の例では、行動計画とメッセージとが画面上に表示されている。
[実施の形態1における効果]
このように、本実施の形態1では、コンピュータシステム30上で、ソフトウェア、具体的にはマルウェアが動作しようとすると、マルゥエアによって何がどのような手順で行われようとしているか(行動計画)が、推定され、推定結果が提示される。また、行動計画の推定は、仮説推論を用いて行われるので、サイバー攻撃の手口が多様化した場合であっても可能である。更に、本実施の形態1では、この行動計画の解釈を支援するメッセージが作成され、これも提示される。このため、コンピュータシステム30の管理者は、適切な対応をすばやくとることができる。
[プログラム]
本実施の形態1におけるプログラムは、コンピュータに、図3に示すステップA1〜A6を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態1における行動計画推定装置10と行動計画推定方法とを実現することができる。この場合、コンピュータのプロセッサは、情報取得部11、グループ生成部12、行動計画推定部13、行動計画出力部14、及びメッセージ作成部15として機能し、処理を行なう。
また、本実施の形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、情報取得部11、グループ生成部12、行動計画推定部13、行動計画出力部14、及びメッセージ作成部15のいずれかとして機能しても良い。
(実施の形態2)
本発明の実施の形態2における、行動計画推定装置、行動計画推定方法、及びプログラムについて、図8〜図10を参照しながら説明する。
[装置構成]
最初に、本発明の実施の形態2における行動計画推定装置20の構成について説明する。図8は、本発明の実施の形態2における行動計画推定装置の構成を示すブロック図である。
図8に示すように、本実施の形態2における行動計画推定装置20は、図2に示した実施の形態1における行動計画推定装置10と同様に、情報取得部11、グループ生成部12、行動計画推定部13、行動計画出力部14、及びメッセージ作成部15を備えている。
但し、本実施の形態2では、行動計画推定装置20は、これらに加えて、部分目的推定部16も備えており、この点で、実施の形態1における行動計画推定装置10と異なっている。以下、実施の形態1との相違点を中心に説明する。
部分目的推定部16は、まず、グループ毎に、各グループに含まれる動作ログに、知識データを適用して、演繹推論を実行する。更に、部分目的推定部16は、グループ毎に、演繹推論の結果を用いて、動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した新たな動作を示す動作ログを各グループに追加する。
また、本実施の形態2では、行動計画推定部13は、部分目的推定部16によって新たな動作を示す動作ログが追加された、グループ毎に、ソフトウェアによって実行される行動計画を推定する。
[装置動作]
次に、本実施の形態2における行動計画推定装置20の動作について図9を用いて説明する。図9は、本発明の実施の形態2における行動計画推定装置の動作を示すフロー図である。以下の説明においては、適宜図8を参照する。また、本実施の形態2においても、行動計画推定装置20を動作させることによって、行動計画推定方法が実施される。よって、本実施の形態2における行動計画推定方法の説明は、以下の行動計画推定装置20の動作説明に代える。
図8に示すように、最初に、情報取得部11が、コンピュータシステム30上でソフトウェアが行った動作毎に、その動作を示す動作ログ及びその文脈情報を取得する(ステップB1)。ステップB1は、図3に示したステップA1と同様のステップである。
次に、グループ生成部12は、ステップB1で取得した動作ログそれぞれを、文脈情報間の類似性に基づいて、グループに分ける(ステップB2)。ステップB2は、図3に示したステップA2と同様のステップである。
次に、部分目的推定部16は、ステップB2で作成されたグループ毎に、各グループに含まれる動作ログに、知識データを適用して、演繹推論を実行する(ステップB3)。続いて、部分目的推定部16は、グループ毎に、演繹推論の結果を用いて、ステップB1で取得された動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した新たな動作を示す動作ログを各グループに追加する(ステップB4)。
次に、行動計画推定部13は、各グループに、ステップB4によって新たな動作を示す動作ログが追加されると、動作ログが追加されたグループ毎に、各グループに含まれる動作ログに、知識データを適用して仮説推論を実行する(ステップB5)。
次に、行動計画推定部13は、ステップB5の仮説推論の結果を用いて、各グループに含まれる動作ログが示す動作から、予め設定された目標状態に至るまでの、動作ログが取得されたソフトウェアによって実行される行動計画を推定する(ステップB6)。ステップB6は、図3に示したステップA4と同様のステップである。
次に、メッセージ作成部15は、ステップB6で推定された行動計画についてのメッセージを生成する(ステップB7)。ステップB7は、図3に示したステップA5と同様のステップである。
次に、行動計画出力部14は、ステップB6で推定された行動計画と、ステップB7で生成されたメッセージとを、例えば、表示装置、端末装置といった外部の装置に出力する(ステップB8)。ステップB8は、図3に示したステップA6と同様のステップである。
[具体例]
ここで、本実施の形態2における行動計画推定装置20の動作の具体例について、図10(a)及び(b)を用いて説明する。図10(a)は、図9に示したステップB3及びB4の処理の一例を示し、図10(b)は、図9に示したステップB5及びB6の処理の一例を示す図である。また、具体例の説明は、上述した図9に示す各ステップに沿って行う。
ステップB1
本実施の形態2においても、情報取得部11は、実施の形態1と同様に、例えば、図4に示す動作ログとそれに付随する文脈情報とを取得する。
ステップB2
本実施の形態2においても、グループ生成部12は、実施の形態1と同様に、例えば、図5に示すように、ステップB1で取得した動作ログそれぞれを、文脈情報間の類似性に基づいて、グループに分ける。
ステップB3及びB4
部分目的推定部16は、ステップB1で取得された動作に対して、知識データを適用して、演繹推論を実行する。これにより、図10(a)に示すように、「マルウェア検知」に対して行為「侵入」が導出され、その「侵入」と「不正ログオン1」とに対して「感染拡大」が導出される。また、「侵入」に対して演繹推論を実行すると、「感染拡大」が導出される。このため、図10(a)に示すように、「マルウェア検知」と「不正ログオン1」との両方が揃うと、「侵入」及び「感染拡大」が追加される。
ステップB5及びB6
行動計画推定部13は、図10(a)に示した追加後のグループに含まれる動作ログに、知識データを適用して仮説推論を実行する。そして、行動計画推定部13は、図10(b)に示すように、行動計画を推定する。図10(b)の例でも、実施の形態1で示した図6の例と同様に、仮説推論により、ステップB2で作成されたグループに含まれる「マルウェア検知」及び「不正ログオン1」を起点として、起点から終点「目標状態」までに、マルウェアによって行われる行為が導出されている。
ステップB7
本実施の形態2においても、メッセージ作成部15は、実施の形態1において示した具体例と同様にメッセージを作成する。メッセージの例としては、「“情報盗取”に関する“データ外部送信”が、“2018/05/31 13:54:28”より後に、“admin01”の権限で、“183.79.40.183”または“183.79.52.210”上で行なわれた可能性があります。」が挙げられる。
ステップB8
本実施の形態2においても、行動計画出力部14は、例えば、図7に示すように、ステップB6で推定された行動計画と、ステップB7で生成されたメッセージとを外部の装置に出力する。
[実施の形態2における効果]
このように、本実施の形態2では、演繹推論が行われるので、事実に基づいた現象を追加することができ、その上で仮説推論が行われる。このため、本実施の形態2によれば、実施の形態1に比べて仮説推論における精度の向上を期待できる。なお、上述の具体例で得られた行動計画は、実施の形態1に示した具体例で得られた行動計画と同様であるが、取得される動作ログの数が増加する程、実施の形態1に比べて、仮説推論における精度は向上する。
加えて、仮説推論よりも演繹推論の方が、処理にかかる負荷が小さく、高速に処理できる。また、同じ仮説に結びつく動作ログ(観測)の数が多い程、演繹推論で導出できる現象の割合が増えるため、仮説推論で探索すべき知識データは限定される。これらの点から、本実施の形態2によれば、処理時間の短縮化が可能となる。
また、本実施の形態2においても、実施の形態1と同様に、サイバー攻撃の手口が多様化した場合であっても、行動計画の推定が可能である。更に、本実施の形態2においても、実施の形態1と同様に、行動計画の解釈を支援するメッセージが提示されるので、コンピュータシステム30の管理者は、適切な対応をすばやくとることができる。
[プログラム]
本実施の形態2におけるプログラムは、コンピュータに、図9に示すステップB1〜B8を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態2における行動計画推定装置20と行動計画推定方法とを実現することができる。この場合、コンピュータのプロセッサは、情報取得部11、グループ生成部12、行動計画推定部13、行動計画出力部14、メッセージ作成部15、及び部分目的推定部16として機能し、処理を行なう。
また、本実施の形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、情報取得部11、グループ生成部12、行動計画推定部13、行動計画出力部14、メッセージ作成部15、及び部分目的推定部16のいずれかとして機能しても良い。
(物理構成)
ここで、実施の形態1及び2におけるプログラムを実行することによって、行動計画推定装置を実現するコンピュータについて、図11を用いて説明する。図11は、本発明の実施の形態1及び2における行動計画推定装置を実現するコンピュータの一例を示すブロック図である。
図11に示すように、コンピュータ110は、CPU(Central Processing Unit)111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。なお、コンピュータ110は、CPU111に加えて、又はCPU111に代えて、GPU(Graphics Processing Unit)、又はFPGA(Field-Programmable Gate Array)を備えていても良い。
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
また、記憶装置113の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。
データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記録媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記録媒体が挙げられる。
なお、本実施の形態における行動計画推定装置10は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、行動計画推定装置10は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。
上述した実施の形態の一部又は全部は、以下に記載する(付記1)〜(付記12)によって表現することができるが、以下の記載に限定されるものではない。
(付記1)
コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、情報取得部と、
前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、グループ生成部と、
前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、行動計画推定部と、
を備えている、
ことを特徴とする行動計画推定装置。
(付記2)
付記1に記載の行動計画推定装置であって、
推定された前記行動計画を外部に出力する、行動計画出力部を更に備えている、
ことを特徴とする行動計画推定装置。
(付記3)
付記2に記載の行動計画推定装置であって、
前記仮説推論の結果から、前記動作ログに直接結びついていない要素の成立に必要となる動作を特定し、そして、前記動作ログの前記文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、加えて、推定した前記文脈情報を用いて、前記行動計画についてのメッセージを生成する、メッセージ作成部を、
更に備え、
前記行動計画出力部が、推定された前記行動計画に加えて、生成された前記メッセージも外部に出力する
ことを特徴とする行動計画推定装置。
(付記4)
付記1〜3のいずれかに記載の行動計画推定装置であって、
前記グループ毎に、当該グループに含まれる前記動作ログに、前記知識データを適用して、演繹推論を実行し、更に、演繹推論の結果を用いて、前記動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した前記新たな動作を示す動作ログを当該グループに追加する、部分目的推定部を更に備え、
前記行動計画推定部は、前記新たな動作を示す動作ログが追加された、前記グループ毎に、前記ソフトウェアによって実行される行動計画を推定する、
ことを特徴とする行動計画推定装置。
(付記5)
(a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
(b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
(c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
を有する、
ことを特徴とする行動計画推定方法。
(付記6)
付記5に記載の行動計画推定方法であって、
(d)推定された前記行動計画を外部に出力する、ステップを更に有する、
ことを特徴とする行動計画推定方法。
(付記7)
付記6に記載の行動計画推定方法であって、
(e)前記仮説推論の結果から、前記動作ログに直接結びついていない要素の成立に必要となる動作を特定し、そして、前記動作ログの前記文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、加えて、推定した前記文脈情報を用いて、前記行動計画についてのメッセージを生成する、ステップを更に有し、
前記(d)のステップにおいて、推定された前記行動計画に加えて、生成された前記メッセージも外部に出力する
ことを特徴とする行動計画推定方法。
(付記8)
付記5〜7のいずれかに記載の行動計画推定方法であって、
(f)前記グループ毎に、当該グループに含まれる前記動作ログに、前記知識データを適用して、演繹推論を実行し、更に、演繹推論の結果を用いて、前記動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した前記新たな動作を示す動作ログを当該グループに追加する、ステップを更に有し、
前記(c)のステップにおいて、前記新たな動作を示す動作ログが追加された、前記グループ毎に、前記ソフトウェアによって実行される行動計画を推定する、
ことを特徴とする行動計画推定方法。
(付記9)
コンピュータに、
(a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
(b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
(c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
を実行させる命令を含む、プログラムを記録している、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
(付記10)
付記9に記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
(d)推定された前記行動計画を外部に出力する、ステップを実行させる命令を更に含む、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
(付記11)
付記10に記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
(e)前記仮説推論の結果から、前記動作ログに直接結びついていない要素の成立に必要となる動作を特定し、そして、前記動作ログの前記文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、加えて、推定した前記文脈情報を用いて、前記行動計画についてのメッセージを生成する、ステップを実行させる命令を更に含む、
前記(d)のステップにおいて、推定された前記行動計画に加えて、生成された前記メッセージも外部に出力する
ことを特徴とするコンピュータ読み取り可能な記録媒体。
(付記12)
付記9〜11のいずれかに記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
(f)前記グループ毎に、当該グループに含まれる前記動作ログを、前記知識データに適用して、演繹推論を実行し、更に、演繹推論の結果を用いて、前記動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した前記新たな動作を示す動作ログを当該グループに追加する、ステップを実行させる命令を更に含む、
前記(c)のステップにおいて、前記新たな動作を示す動作ログが追加された、前記グループ毎に、前記ソフトウェアによって実行される行動計画を推定する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
以上のように、本発明によれば、外部から入力されたソフトウェアによるサイバー攻撃の手口が多様化した場合であっても、このソフトウェアによって実行される行動計画を推定することができる。本発明は、外部からソフトウェアが入力される可能性がある種々のシステムに対して有用である。
10 行動計画推定装置(実施の形態1)
11 情報取得部
12 グループ生成部
13 行動計画推定部
14 行動計画出力部
15 メッセージ作成部
16 部分目的推定部
20 行動計画推定装置(実施の形態2)
30 コンピュータシステム
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
本発明は、コンピュータシステム上でのソフトウェアの行動計画を推定するための、行動計画推定装置、及び行動計画推定方法に関し、更には、これらを実現するためのプログラムに関する。
本発明の目的の一例は、上記問題を解消し、外部から入力されたソフトウェアによるサイバー攻撃の手口が多様化した場合であっても、このソフトウェアによって実行される行動計画を推定し得る、行動計画推定装置、行動計画推定方法、及びプログラムを提供することにある。
更に、上記目的を達成するため、本発明の一側面におけるプログラムは、
コンピュータに、
(a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
(b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
(c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
を実行させる、
ことを特徴とする。
(付記9)
コンピュータに、
(a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
(b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
(c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
を実行させる、プログラム。
(付記10)
付記9に記載のプログラムであって、
記コンピュータに、
(d)推定された前記行動計画を外部に出力する、ステップを更に実行させる、
ことを特徴とするプログラム
(付記11)
付記10に記載のプログラムであって、
記コンピュータに、
(e)前記仮説推論の結果から、前記動作ログに直接結びついていない要素の成立に必要となる動作を特定し、そして、前記動作ログの前記文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、加えて、推定した前記文脈情報を用いて、前記行動計画についてのメッセージを生成する、ステップを更に実行させ、
前記(d)のステップにおいて、推定された前記行動計画に加えて、生成された前記メッセージも外部に出力する
ことを特徴とするプログラム
(付記12)
付記9〜11のいずれかに記載のプログラムであって、
記コンピュータに、
(f)前記グループ毎に、当該グループに含まれる前記動作ログを、前記知識データに適用して、演繹推論を実行し、更に、演繹推論の結果を用いて、前記動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した前記新たな動作を示す動作ログを当該グループに追加する、ステップを更に実行させ、
前記(c)のステップにおいて、前記新たな動作を示す動作ログが追加された、前記グループ毎に、前記ソフトウェアによって実行される行動計画を推定する、
ことを特徴とするプログラム

Claims (12)

  1. コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、情報取得部と、
    前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、グループ生成部と、
    前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、行動計画推定部と、
    を備えている、
    ことを特徴とする行動計画推定装置。
  2. 請求項1に記載の行動計画推定装置であって、
    推定された前記行動計画を外部に出力する、行動計画出力部を更に備えている、
    ことを特徴とする行動計画推定装置。
  3. 請求項2に記載の行動計画推定装置であって、
    前記仮説推論の結果から、前記動作ログに直接結びついていない要素の成立に必要となる動作を特定し、そして、前記動作ログの前記文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、加えて、推定した前記文脈情報を用いて、前記行動計画についてのメッセージを生成する、メッセージ作成部を、
    更に備え、
    前記行動計画出力部が、推定された前記行動計画に加えて、生成された前記メッセージも外部に出力する
    ことを特徴とする行動計画推定装置。
  4. 請求項1〜3のいずれかに記載の行動計画推定装置であって、
    前記グループ毎に、当該グループに含まれる前記動作ログを、前記知識データに適用して、演繹推論を実行し、更に、演繹推論の結果を用いて、前記動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した前記新たな動作を示す動作ログを当該グループに追加する、部分目的推定部を更に備え、
    前記行動計画推定部は、前記新たな動作を示す動作ログが追加された、前記グループ毎に、前記ソフトウェアによって実行される行動計画を推定する、
    ことを特徴とする行動計画推定装置。
  5. (a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
    (b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
    (c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
    を有する、
    ことを特徴とする行動計画推定方法。
  6. 請求項5に記載の行動計画推定方法であって、
    (d)推定された前記行動計画を外部に出力する、ステップを更に有する、
    ことを特徴とする行動計画推定方法。
  7. 請求項6に記載の行動計画推定方法であって、
    (e)前記仮説推論の結果から、前記動作ログに直接結びついていない要素の成立に必要となる動作を特定し、そして、前記動作ログの前記文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、加えて、推定した前記文脈情報を用いて、前記行動計画についてのメッセージを生成する、ステップを更に有し、
    前記(d)のステップにおいて、推定された前記行動計画に加えて、生成された前記メッセージも外部に出力する
    ことを特徴とする行動計画推定方法。
  8. 請求項5〜7のいずれかに記載の行動計画推定方法であって、
    (f)前記グループ毎に、当該グループに含まれる前記動作ログを、前記知識データに適用して、演繹推論を実行し、更に、演繹推論の結果を用いて、前記動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した前記新たな動作を示す動作ログを当該グループに追加する、ステップを更に有し、
    前記(c)のステップにおいて、前記新たな動作を示す動作ログが追加された、前記グループ毎に、前記ソフトウェアによって実行される行動計画を推定する、
    ことを特徴とする行動計画推定方法。
  9. コンピュータに、
    (a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
    (b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
    (c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
    を実行させる命令を含む、プログラムを記録している、
    ことを特徴とするコンピュータ読み取り可能な記録媒体。
  10. 請求項9に記載のコンピュータ読み取り可能な記録媒体であって、
    前記プログラムが、前記コンピュータに、
    (d)推定された前記行動計画を外部に出力する、ステップを実行させる命令を更に含む、
    ことを特徴とするコンピュータ読み取り可能な記録媒体。
  11. 請求項10に記載のコンピュータ読み取り可能な記録媒体であって、
    前記プログラムが、前記コンピュータに、
    (e)前記仮説推論の結果から、前記動作ログに直接結びついていない要素の成立に必要となる動作を特定し、そして、前記動作ログの前記文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、加えて、推定した前記文脈情報を用いて、前記行動計画についてのメッセージを生成する、ステップを実行させる命令を更に含む、
    前記(d)のステップにおいて、推定された前記行動計画に加えて、生成された前記メッセージも外部に出力する
    ことを特徴とするコンピュータ読み取り可能な記録媒体。
  12. 請求項9〜11のいずれかに記載のコンピュータ読み取り可能な記録媒体であって、
    前記プログラムが、前記コンピュータに、
    (f)前記グループ毎に、当該グループに含まれる前記動作ログを、前記知識データに適用して、演繹推論を実行し、更に、演繹推論の結果を用いて、前記動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した前記新たな動作を示す動作ログを当該グループに追加する、ステップを実行させる命令を更に含む、
    前記(c)のステップにおいて、前記新たな動作を示す動作ログが追加された、前記グループ毎に、前記ソフトウェアによって実行される行動計画を推定する、
    ことを特徴とするコンピュータ読み取り可能な記録媒体。
JP2020570224A 2019-02-04 2019-02-04 行動計画推定装置、行動計画推定方法、及びプログラム Active JP7168010B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/003922 WO2020161780A1 (ja) 2019-02-04 2019-02-04 行動計画推定装置、行動計画推定方法、及びコンピュータ読み取り可能な記録媒体

Publications (2)

Publication Number Publication Date
JPWO2020161780A1 true JPWO2020161780A1 (ja) 2021-11-25
JP7168010B2 JP7168010B2 (ja) 2022-11-09

Family

ID=71947540

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020570224A Active JP7168010B2 (ja) 2019-02-04 2019-02-04 行動計画推定装置、行動計画推定方法、及びプログラム

Country Status (3)

Country Link
US (1) US11989290B2 (ja)
JP (1) JP7168010B2 (ja)
WO (1) WO2020161780A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023012849A1 (ja) * 2021-08-02 2023-02-09 日本電気株式会社 推論装置、推論方法、及び、記憶媒体

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002318734A (ja) * 2001-04-18 2002-10-31 Teamgia:Kk 通信ログ処理方法及びシステム
WO2015059791A1 (ja) * 2013-10-24 2015-04-30 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
WO2016027292A1 (ja) * 2014-08-22 2016-02-25 日本電気株式会社 分析装置、分析方法及びコンピュータ読み取り可能な記録媒体

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170206479A1 (en) * 2014-07-15 2017-07-20 Nec Corporation Work state analyzing system
JP6643211B2 (ja) * 2016-09-14 2020-02-12 株式会社日立製作所 異常検知システム及び異常検知方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002318734A (ja) * 2001-04-18 2002-10-31 Teamgia:Kk 通信ログ処理方法及びシステム
WO2015059791A1 (ja) * 2013-10-24 2015-04-30 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
WO2016027292A1 (ja) * 2014-08-22 2016-02-25 日本電気株式会社 分析装置、分析方法及びコンピュータ読み取り可能な記録媒体

Also Published As

Publication number Publication date
US20220114253A1 (en) 2022-04-14
JP7168010B2 (ja) 2022-11-09
WO2020161780A1 (ja) 2020-08-13
US11989290B2 (en) 2024-05-21

Similar Documents

Publication Publication Date Title
Kharraz et al. Redemption: Real-time protection against ransomware at end-hosts
JP6599946B2 (ja) 時系列グラフ分析による悪意ある脅威の検出
US9870471B2 (en) Computer-implemented method for distilling a malware program in a system
KR101122650B1 (ko) 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법
US10997289B2 (en) Identifying malicious executing code of an enclave
JP6400758B2 (ja) 不正リモート管理からのコンピュータを保護するためのシステム及び方法
KR102271545B1 (ko) 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들
KR20160046640A (ko) 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법
JP2017211978A (ja) 業務処理システム監視装置および監視方法
JP2019521400A (ja) 推測的なエクスプロイトの試みの検出
JP2019533258A (ja) コンピュータセキュリティ動作を最適化するための動的評判インジケータ
US20170155683A1 (en) Remedial action for release of threat data
CN111183620B (zh) 入侵调查
JPWO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム
CN110717181B (zh) 基于新型程序依赖图的非控制数据攻击检测方法及装置
WO2020246227A1 (ja) ルール生成装置、ルール生成方法、及びコンピュータ読み取り可能な記録媒体
US8490195B1 (en) Method and apparatus for behavioral detection of malware in a computer system
JP7168010B2 (ja) 行動計画推定装置、行動計画推定方法、及びプログラム
US10417414B2 (en) Baseline calculation for firewalling
RU2587424C1 (ru) Способ контроля приложений
RU2708355C1 (ru) Способ обнаружения вредоносных файлов, противодействующих анализу в изолированной среде
KR102458075B1 (ko) 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법
CN114900375A (zh) 一种基于ai图分析的恶意威胁侦测方法
JP7238987B2 (ja) セキュリティ訓練支援装置、セキュリティ訓練支援方法、及びプログラム
Canzanese et al. Inoculation against malware infection using kernel-level software sensors

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210730

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220908

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220927

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221010

R151 Written notification of patent or utility model registration

Ref document number: 7168010

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151